Los investigadores de ciberseguridad han revelado detalles de dos nuevas familias de malware para Android denominadas FVNC bot y Seeds Snatcher , como otra versión mejorada de Rata de arcilla ha sido visto en estado salvaje.
Los hallazgos provienen de Intel 471 , CIFIRMA , y Zimperium , respectivamente.
FVNCBot, que se hace pasar por una aplicación de seguridad desarrollada por mBank, se dirige a los usuarios de la banca móvil en Polonia. Lo destacable del malware es que está escrito completamente desde cero y no se inspira en otros troyanos bancarios de Android como ERMAC a los que se les ha filtrado su código fuente.
El malware «implementó múltiples funciones, como el registro de teclas mediante el uso indebido de los servicios de accesibilidad de Android, los ataques de inyección web, la transmisión de pantalla y la computación en red virtual oculta (HVNC) para llevar a cabo un fraude financiero exitoso», afirma Intel 471.
Similar al descubierto recientemente Albiriox malware bancario, el malware está protegido por un servicio de cifrado conocido como apk0day ofrecido por Golden Crypt. La aplicación maliciosa actúa como un cargador al instalar la carga útil FVNCBot integrada.
Tan pronto como se lanza la aplicación Dropper, se pide a los usuarios que instalen un componente de Google Play para garantizar la seguridad y la estabilidad de la aplicación, cuando, en realidad, esto lleva al despliegue del malware mediante el uso de un enfoque basado en sesiones que han adoptado otros actores de amenazas para eludir las restricciones de accesibilidad en los dispositivos Android que ejecutan la versión 13 y posteriores.
«Durante el tiempo de ejecución del malware, los eventos de registro se enviaron al servidor remoto del dominio naleymilva.it.com para rastrear el estado actual del bot», afirma Intel 471. «Los operadores incluyeron un identificador de compilación call_pl, que indicaba que Polonia era el país objetivo, y la versión del malware estaba configurada en 1.0-P, lo que sugería que se encontraba en una fase temprana de desarrollo.
A continuación, el malware solicita a la víctima que le conceda permisos para los servicios de accesibilidad, lo que le permite operar con privilegios elevados y conectarse a un servidor externo a través de HTTP para registrar el dispositivo infectado y recibir comandos a cambio mediante el servicio Firebase Cloud Messaging (FCM).
|
| El proceso de FVNCBot que habilita el servicio de accesibilidad |
Algunas de las funciones de soporte se enumeran a continuación -
- Inicie o detenga una conexión WebSocket para controlar el dispositivo de forma remota y deslice el dedo, haga clic o deslice el dedo para navegar por la pantalla del dispositivo
- Exfiltrar los eventos de accesibilidad registrados al controlador
- Exfiltrar la lista de aplicaciones instaladas
- Exfiltre la información del dispositivo y la configuración del bot
- Reciba la configuración para publicar superposiciones maliciosas sobre las aplicaciones específicas
- Mostrar una superposición de pantalla completa para capturar y filtrar datos confidenciales
- Ocultar una superposición
- Verificar el estado de los servicios de accesibilidad
- Abusar de los servicios de accesibilidad para registrar las pulsaciones de teclas
- Obtiene los comandos pendientes del controlador
- Abusar de la API MediaProjection de Android para transmitir contenido de pantalla
FVNCBot también facilita lo que se denomina modo de texto para inspeccionar el diseño de la pantalla y el contenido del dispositivo, incluso en situaciones en las que una aplicación impide que se tomen capturas de pantalla mediante la configuración Opción FLAG_SECURE .
Actualmente no se sabe cómo se distribuye FVNCBot, pero se sabe que los troyanos bancarios de Android utilizan la suplantación de identidad por SMS y las tiendas de aplicaciones de terceros como vector de propagación.
«El servicio de accesibilidad de Android está destinado a ayudar a los usuarios con discapacidades, pero también puede ofrecer a los atacantes la posibilidad de saber cuándo se lanzan ciertas aplicaciones y sobrescribir la pantalla», afirma Intel 471. «Aunque esta muestra en particular se configuró para dirigirse a usuarios de habla polaca, es plausible que observemos que este tema cambia para centrarse en otras regiones o hacerse pasar por otras instituciones polacas».
Si bien FVNCBot se centra principalmente en el robo de datos, SeedSnatcher, que se distribuye con el nombre de Coin a través de Telegram, está diseñado para permitir el robo de frases iniciales de monederos de criptomonedas. También permite interceptar los mensajes SMS entrantes para robar códigos de autenticación de dos factores (2FA) para apoderarse de cuentas, así como capturar datos de dispositivos, contactos, registros de llamadas, archivos y datos confidenciales mediante la visualización de superposiciones de suplantación de identidad.
Se estima que los operadores de SeedSnatcher tienen su sede en China o hablan chino, debido a la presencia de instrucciones en chino compartidas a través de Telegram y el panel de control del ladrón.
«El malware aprovecha técnicas avanzadas para evadir la detección, incluida la carga dinámica de clases, la inyección sigilosa de contenido de WebView y las instrucciones de comando y control basadas en números enteros», afirma CYFIRMA. «Al principio solicitaba permisos mínimos de ejecución, como el acceso por SMS, pero más adelante aumenta los privilegios para acceder al administrador de archivos, a las superposiciones, a los contactos, a los registros de llamadas, etc.».
La novedad se produce cuando Zimperium zLabs anunció que había descubierto una versión mejorada de ClayRat que se había actualizado para abusar de los servicios de accesibilidad y aprovechar sus permisos de SMS predeterminados, lo que la convierte en una amenaza más potente, capaz de registrar las pulsaciones de las teclas y la pantalla, ofrecer diferentes superposiciones, como una pantalla de actualización del sistema, para ocultar actividades maliciosas y crear notificaciones interactivas falsas para robar las respuestas de las víctimas.
|
| Permiso de accesibilidad y SMS predeterminado de ClayRat |
La expansión de las capacidades de ClayRat, en pocas palabras, facilita la adquisición total del dispositivo mediante el abuso de los servicios de accesibilidad, el desbloqueo automático del PIN, la contraseña o el patrón del dispositivo, la grabación de pantalla, la recopilación de notificaciones y las superposiciones persistentes.
ClayRat se ha difundido a través de 25 dominios de suplantación de identidad fraudulentos que se hacen pasar por servicios legítimos como YouTube y anuncian una versión Pro para reproducción en segundo plano y compatibilidad con 4K HDR. También se ha descubierto que las aplicaciones de dropper que distribuyen el malware imitan las aplicaciones rusas de taxis y aparcamientos.
«En conjunto, estas capacidades convierten a ClayRat en un software espía más peligroso en comparación con su versión anterior, en la que la víctima podía desinstalar la aplicación o apagar el dispositivo al detectar la infección», dijeron los investigadores Vishnu Pratapagiri y Fernando Ortega.